Con shadow IT si fa riferimento all'uso di software, dispositivi, sistemi o applicazioni non autorizzato o non noto al reparto ITย da parte di altri reparti o singoli utenti. Il fenomeno della shadow IT รจ aumentato notevolmente negli ultimi anni, in particolare con la diffusione dello smart working e dell'utilizzo di servizi e applicazioni basati su cloud. Da un lato, la shadow IT puรฒ accelerare la produttivitร e l'innovazione, ma dall'altro puรฒ creare gravi rischi per la sicurezza e problemi di conformitร , soprattutto quando i dati vengono archiviati in posizioni di cui il reparto IT non รจ al corrente.ย
Esempi di applicazioni e attivitร shadow IT
Si possono considerare applicazioni shadow IT quelle che vengono utilizzate per motivi di lavoro senza coinvolgere il reparto IT della propria organizzazione.ย
Queste applicazioni si dividono in quattro categorie principali:
- Applicazioni basate su cloud accessibili direttamente tramite la rete aziendale.
- Applicazioni basate su cloud accessibili tramite soluzioni SaaS come Microsoft Office 365 o Google Workspace.
- Software preconfenzionati acquistati da un reparto o un utente finale e caricati nel sistema (fenomeno oggi meno comune di un tempo).
- Software personalizzati eseguiti sul portatile aziendale di un utente.
Rientrano nelle attivitร shadow IT:
- Il download e l'uso non autorizzato di app per la gestione dei workflow o la produttivitร come Trello o Asana.
- La creazione e l'uso di workload cloud configurati tramite account o credenziali personali o di reparto.
- L'acquisto e/o l'utilizzo non autorizzato di applicazioni SaaS di terze parti oppure l'abbonamento ad altri servizi cloud che non sono monitorati dal reparto IT aziendale.
- L'uso di piattaforme di messaggistica personali come WhatsApp o Signal per comunicazioni di lavoro.ย
- L'uso di account e-mail personali per svolgere le proprie mansioni di lavoro.ย
- L'uso non autorizzato di dispositivi personali (BYOD).ย
Rischi della shadow IT
ร difficilissimo, se non praticamente impossibile, proteggere i dati se i dipendenti li memorizzano in posizioni che sfuggono al controllo dell'azienda, e il reparto IT non puรฒ sapere quali o quanti dati dei clienti sono a rischio se ignora dove si trovano.ย
Tra i principali rischi per la sicurezza derivati dalla shadow IT abbiamo:
Perdita di dati
L'azienda non ha accesso ai dati salvati negli account o nei dispositivi personali di un utente, perciรฒ questi dati andranno persi nel momento in cui il dipendente si dimette o viene licenziato. Inoltre, poichรฉ i dati negli account personali non sono soggetti alle policy e procedure aziendali, รจ possibile che siano sottoposti a operazioni di backup, archiviazione o crittografia non conformi.
Visibilitร e controllo ridotti
La shadow IT porta con sรฉ gravi problemi di visibilitร e controllo per gli stessi motivi indicati per la perdita di dati: non puoi mettere in sicurezza i dati che non vedi. Il ricorso maggiore al self-provisioning puรฒ sรฌ aumentare la produttivitร e l'adozione di nuovi strumenti, ma al tempo stesso decentralizza il provisioning delle risorse, per cui l'IT non sa cosa sta succedendo, con chi e dove. Di conseguenza, non esiste un'unica fonte di attendibilitร , semmai una fonte incompleta o compromessa.ย
Maggiore vulnerabilitร agli attacchi informatici
Ogni istanza shadow IT aumenta la superficie di attacco di un'organizzazione e poichรฉ non sono visibili al reparto IT, non sono protette dalle soluzioni di sicurezza informatica aziendali. In piรน, gli utenti di applicazioni shadow IT spesso utilizzano credenziali e password poco complesse che gli hacker riescono a sfruttare facilmente per infiltrarsi nella rete aziendale.
Aumento dei costi dovuto alla mancanza di conformitร
La shadow IT spesso comporta costi indiretti sotto forma di sanzioni normative e danni alla reputazione in caso di violazione dei dati. Inoltre, per quanto la shadow IT rappresenti un modo per ridurre i costi, nel lungo termine l'uso di applicazioni e servizi di questo tipo, ad esempio per il data storage, non รจ cosรฌ conveniente su scala.
Come gestire e limitare i rischi della shadow IT
Perchรฉ la shadow IT รจ cosรฌ diffusa?
Il motivo principale รจ che i dipendenti non hanno gli strumenti necessari per svolgere al meglio il loro lavoro.ย
Con la proliferazione delle istanze shadow IT, la responsabilitร per gestirle e limitarle ricade su chi deve assicurarsi che i dipendenti possano usare tutti gli strumenti, le risorse e i servizi di cui hanno bisogno per lavorare bene.ย
Per limitare i rischi legati alla shadow IT, le organizzazioni possono:
- Formare i dipendenti sull'uso sicuro e corretto di tutti gli strumenti e le tecnologie a disposizioneย
- Applicare regole e protocolli per il provisioning di nuovi servizi
- Promuovere e rafforzare costantemente (con video, corsi di formazione, ecc.) le policy aziendali di sicurezza e conformitร
Oltre a tutto questo, la cosa migliore che un'azienda puรฒ fare per limitare i rischi รจ utilizzare una tecnologia avanzata come FlashArrayโข di Pure Storageยฎ che, insieme alle snapshot,ย aumenta l'accessibilitร e la visibilitร dei dati per l'analisi di piรน origini mantenendo i dati in locale. Queste soluzioni possono interagire con i dati archiviati direttamente nell'object storage di FlashBladeยฎ o nel cloud con Pure Cloud Block Storeโข, eliminando la necessitร di creare copie distinte dei dati condivisi con altri strumenti o workflow.
ย
Scarica l'eBook "Snapshot per principianti".
Scopri di piรน su FlashBlade//Sโข.ย
Scarica la guida completa alla data protection.
